Il Garante della privacy in audizione: proporzionalità e sicurezza dei dati al centro. Avviata istruttoria sull’accesso all’Anagrafe Tributaria.
Il Garante per la protezione dei dati personali si schiera in modo netto contro l’utilizzo indiscriminato di informazioni reperibili sul web per la profilazione dei contribuenti e la stima del rischio di evasione fiscale.
È quanto emerso dall’audizione del Presidente dell’Autorità, tenutasi il 22 ottobre scorso davanti alla Commissione parlamentare di vigilanza sull’anagrafe tributaria.
Contestualmente, il Garante ha proposto un inasprimento delle sanzioni per chi sottrae dati riservati dalle banche dati pubbliche.
Web scraping e AI: i limiti alla profilazione fiscale
Il dibattito si è concentrato sulla necessità di trovare un equilibrio tra l’efficacia della lotta all’evasione e la tutela dei diritti fondamentali dei contribuenti.
Stanzione ha posto l’accento su due principi fondamentali, soprattutto nell’era dell’utilizzo di algoritmi e Intelligenza Artificiale (AI) per l’individuazione dei soggetti a rischio: la proporzionalità e l’accuratezza nella raccolta dei dati, insieme alla sicurezza dei sistemi informativi.
Un punto cruciale è l’uso di dati per generare le liste di controllo dei contribuenti. Il Garante ha ricordato che, in ossequio all’articolo 5 del GDPR, è imperativo che gli algoritmi si basino solo su dati corretti e aggiornati, poiché la presenza di un errore potrebbe “propagarsi e compromettere l’intero processo algoritmico”.
Stop alle “informazioni pubblicamente disponibili”
A seguito delle recenti modifiche alla delega fiscale, il Garante ha ottenuto un risultato significativo: l’esclusione delle “informazioni pubblicamente disponibili” dai criteri di analisi del rischio.
Il garante ha motivato la sua posizione spiegando che la formula originaria era “troppo generica” e rischiava di legittimare pratiche di web scraping non verificate, trasformando di fatto il web in un non meglio specificato “socialometro” fiscale.
L’uso di dati online è ora consentito solo in maniera cauta:
- Deve essere verificata l’attendibilità dell’informazione.
- Deve avvenire nel rispetto dell’art. 22 del GDPR (decisioni basate unicamente sul trattamento automatizzato).
- Deve limitarsi a confermare anomalie già rilevate da fonti istituzionali e affidabili.
Sicurezza delle banche dati e Task Force interna
Il secondo fronte di intervento riguarda la protezione delle banche dati dell’Agenzia delle Entrate, spesso oggetto di attacchi o sottrazioni.
Richiamando casi recenti, il Presidente Stanzione ha denunciato l’aumento della rivendita di informazioni riservate da parte di soggetti privati che operano, talvolta, con agenzie investigative o operatori infedeli.
Per contrastare questo fenomeno, l’Autorità ha costituito una task force interdipartimentale con l’obiettivo di rafforzare controlli, audit e misure di sicurezza.
L’Autorità ha inoltre avviato una specifica istruttoria tecnica volta a verificare gli strumenti informatici principali utilizzati per accedere all’anagrafe tributaria e all’archivio dei rapporti finanziari, tra cui PuntoFisco, Serpico e CAR.
Proposta di inasprimento delle sanzioni: il regime 231
Per aumentare il potere deterrente contro gli abusi, il Garante ha avanzato la proposta di includere i reati in materia di protezione dei dati personali tra i reati presupposto della responsabilità amministrativa degli enti (D.lgs. 231/2001).
“Tale misura introdurrebbe una responsabilità aggiuntiva rispetto a quella già prevista dal GDPR e dal Codice privacy, oggi gestita dal Garante”, ha spiegato Stanzione.
L’effetto sarebbe duplice: oltre alle sanzioni pecuniarie (fino a 20 milioni di euro o al 4% del fatturato previste dal GDPR), le imprese potrebbero subire le pesanti conseguenze del regime 231, portando a un “effetto deterrente più incisivo contro gli abusi”.
